1. WINDOWS自带的EFS加密非常强悍,如果某个用户把自己的登录帐户删除,同时他也没有备份证书,那么任何人将无法访问其EFS加密文件,连系统管理员都不行,发现以下技巧,或许还能拯救,注意本文仅适用于WINDOWS XP操作系统
2. 一般情况下,这些EFS加密文件已经被判了死刑,但是实际上满足以下条件的话,我们还是可以在末日到来之前打开逃生的天窗
3. 首先我用ADMINISTRATOR帐户新建一个名为USER1的用户
1. 然后以USER1帐户登录到PC
然后在桌面新建一个文本文件,内容为MY NAME IS LIUYONGXING!
然后对该文件加密
把该文件的名称改为110.txt
然后以系统管理员登录,看一下是否能打开110文件
结果不能访问
然后我们删掉USER1这个帐户
再用NET USER命令来查看一下,我们是否删除成功了?结果成功了!
然后我们必须另辟蹊径,让系统再造一个完全一样的SID!
再造SID,第一步,首先要确认被删除帐户的SID,这里可以进入以下文件夹C:\Documents and Settings\user1\Application Data\Microsoft\Credentials,在其下应该有一个以该被删除帐户的SID为名的文件夹,如下:
现在我们要设法让新建用户同样有1003的RID,这样就能达到目的
第二步,把PSTOOLS。ZIP压缩包复制到本机的桌面上
然后把它释放到桌面,然后安装psexec.exe
在命令提示符窗口中,运行psexec –I –d –s %windir%\regedit.exe命令,以SYSTEM帐户身份打开注册表编辑器(注意,PSEXEC你释放在哪里,你就在CMD中把目录切换到哪里,再运行以下命令!!)
1. 第三步,定位到HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account注册表项,双击打开右侧的F键值
1. 第四步,这里要说明一下,WINDOWS是以十六进制,而且以反转形式保存下一个帐户的RID,这里对应的十六进制是03EB,但是我们必须把它反转过来变成EB03,再扩展4个字节。就是EB03 0000
2. 所以,我们就应该把F键值0048偏移量处,把其中四个字节改为EB03 0000
1. 然后确定
1. 第五步,重启计算机
1. 然后以系统管理员ADMINISTRATOR登录PC
1. 然后新建一人同名帐户USER1,它的SID应该和以前是完全一样的
1. 与以前的SID是一样的!以下是该用户以前的SID
1. 破解EFS
2. 接下来的方法就非常简单了,用新建的USER1帐户身份登录系统
1. 然后我们会在桌面看到刚才我们新建的那个文件
1. 然后双击打开它就行了!